Guida operativa a HxD, il bisturi per la rimozione definitiva dei rootkit [MegaLab.it]

Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)

Canali

Ultime news

Barbecue - le ricette e le tecniche: nuovo collezionabile da Edizioni Master In edicola una nuova pubblicazione editoriale ricca di ricette e...
Barbecue – le ricette e le tecniche: nuovo collezionabile da Edizioni Master In edicola una nuova pubblicazione editoriale ricca di ricette e...
Telefonino.net presente al GSMA Mobile World Congress 2015 Anche quest'anno il portale italiano leader sulla telefonia mobile...
Sempre più vicino il rilascio di Spartan, il nuovo browser Microsoft Al CES 2015, Microsoft ha lasciato trapelare due immagini confuse e...

Ultimi articoli

Le ultime dal Forum

MegaForum

Le nostre guide

20081101075843_1107978128_20081101075831_1169123072_gega.png

Guida operativa a HxD, il bisturi per la rimozione definitiva dei rootkit

28/02/2011

- A cura di

Uomo_Senza_Sonno.

Sicurezza - Gli MBR rootkit ed i rootkit in generale costituiscono infezioni davvero difficili da rimuovere. Ma dove non arrivano i tool antivirali, arriva il disk editor: HxD è un ottimo strumento free che ci permette di eliminare il problema definitivamente e senza grossi problemi. Vediamo come.

Network Motori

In collaborazione con newstreet.it

Correlati

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

Valutazione

Voto complessivo 4 calcolato su 22 voti

Esaminiamo un secondo disco infetto da rootkit, in questo caso abbiamo un disco con una singola partizione di sistema; notiamo, oltre alla lingua inglese, la modifica della tabella di partizione.

Nel disco è installato Windows XP in lingua italiana.

Controlliamo le righe presenti dall'offset 1C0 all'offset 1F0

E procediamo con l'estrapolazione degli estremi del filesystem: anche in questo caso il primo estremo corrisponde al valore 3F, ovvero al settore 63, mentre l'altro estremo corrisponde al valore scritto negli offset 1F6-1F9, ovvero al valore 09 4A 85 27, settore 155878695. Ma non lasciamoci ingannare, negli offset 1FA-1FD è segnato il settore dove è insediato il codice malevolo, per cui dobbiamo tenerne conto e considerare gli offset a partire da dove rileviamo l'infezione (quindi al valore 09 4A 84 27 aggiungiamo il valore 00 06 5F 9A per ottenere il valore 09 50 E4 C1, settore 156296385).

Nei settori compresi dal MBR al primo estremo del filesystem, notiamo tracce di codice che in un disco sano non sono presenti

E andando a verificare l'altro estremo troveremo una copia del MBR e le altre parti del codice virale nei settori successivi.

In questo caso quindi gli offset utilizzati per editare i settori sono stati i seguenti:

settori 1-62, offset iniziale 200, finale 7DFF;
settori 156296385-156301488, offset iniziale 12A1C98200, finale 12A1F15FFF;

Anche qui prima di procedere è stato eseguito un controllo con lo Stealth Rootkit Detector, il quale aveva generato il seguente log:

device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 9! copy of MBR has been found in sector 0x0950E4C1 malicious code @ sector 0x0950E4C4! PE file found in sector at 0x0950E4DA!

Dove ci indica che sono state rilevate due copie del MBR, l'inizio e la coda del codice virale. In questo caso, le copie del MBR non sembravano copie di backup, per cui si è preferito eseguire il ripristino del MBR tramite il comando fixmbr e fixboot.